毕业论文基于校园网的分布式入侵防御系统研究与设计.doc

《毕业论文基于校园网的分布式入侵防御系统研究与设计.doc》由会员分享，可在线阅读，更多相关《毕业论文基于校园网的分布式入侵防御系统研究与设计.doc（29页珍藏版）》请在三一办公上搜索。

1、 Foshan University本科生毕业设计（论文） 基于校园网的分布式入侵防御系统研究与设计 学 院： 机电与信息工程学院 专 业： 网络工程 学 号： 2005394109 学生姓名： 何应鸿 指导教师： 马莉 （职称）二九 年 五 月摘 要随着Internet的发展，计算机网络安全成为越来越受人们关注的问题。目前最流行的网络安全解决方案是入侵检测系统和防火墙技术，但是由于入侵检测系统存在产生大量的警报（Alert）和误报（False Positive）、只能被动检测不能主动防御的缺点，导致不能对网络进行全面得保护，因此急需出现一种崭新的网络安全体系结构来解决这些问题。通过分析多种安

2、全防御机制的优缺点和网络安全的发展趋势，在此基础上设计并实现了基于分层部件的分布式入侵检测系统，具有良好的性能和可扩展性。它将入侵检测系统和防火墙技术有机地结合在一起，用于实现对网络的全面保护和深度防御。 本文在深入细致地分析了现有入侵检测系统进行了研究与设计，取得了以下工作成果：参与设计了一种分布式入侵检测系统，并对该系统的体系结构和功能进行了全面、完整的描述。研究了snort的实现机制，学会如何编写snort规则。研究了黑客攻击的步骤，并掌握了一般攻击的手段。研究并实现了报警采集与格式统一模块。实现了网络通信模块，并使用Strategy模式保证了加密解密模块的动态扩展，有效的解决了入侵检测

3、系统自身的安全问题。重点研究了报警融合模块的实现原理，并实现了基于相似度的报警融合算法。重点研究和实现了基于插件的报警响应模块，实现了与防火墙的联动。针对局域网实际应用需求，使用该分布式入侵检测系统对其进行保护，取得了不错的实验效果。关键词：网络安全；入侵检测；分布式；报警融合；自动响应Research and Design of Based on Campus Network Distributed Intrusion Detection SystemHE Ying-hongABSTRACTWith the development of the Internet, the computer

4、network security has received more and more concern. At present the most popular network security solution is the Intrusion Detection System and the Firewall System, but the Intrusion Detection System produces a lot of Alert and False Positive, an they only can detect passively, cannot defense activ

5、ely, so they cannot carry on the comprehensive protection to the network. Therefore a kind of brand-new network security architecture is urgent needed to solve these problems. The author analyses the good and bad points of many kinds of security defense mechanism and the development tendency of the

6、network security, designs and implements component-based hierarchical Distributed Intrusion Detection System. It has good performance and can be expanded easily. It combine the Intrusion Detection System and the Firewall together, so it can carry on the comprehensive protection to the network.This a

7、rticle analyses the existing Intrusion Detection System and the Firewall System, designs and implements the Distributed Intrusion Detection System, obtaines the achievement as below:Take part in designing the Distributed Intrusion Detection System, and explains the architecture and function of the s

8、ystem explicitly.Does a research in the implementation mechanism of the snort, and masteres how to write snort rules.Does a research in the steps of hackersattack, masteres the general means of attack.Does a research and implements the alerts gather and format unification module.Implements network c

9、ommunication module, uses strategy design pattern to guarantee the dynamic expansion of the encryption and decryption module, solves security problems of the Intrusion Detection System effectively.Dose a deep research in the principle of the alert fusion module, and implements based on the similarit

10、y alert fusion arithmetic.Does a deep research and implements the automatic response module, which is based on plugin mode, and implements the linkage with the firewall.Aim at the demand of the local area network security, uses this Distributed Intrusion Detection System to carry on the protection f

11、or it, and the experiment receives some good effects.KEYWORD: network security, intrusion detection, distribute, alert fusion, automatic response.目 录1绪论 1 11 研究背景 1 1.1.1 校园网现状 1 1.1.2 入侵检测技术现状 1 1.1.3 防火墙技术现状 12方案论证 221 Snort检测器介绍 222 检测引擎介绍 23研究过程论述 331第一阶段：调研论文内容 3 3.1.1 防火墙功能 3 3.1.2 防火墙分类 4 3.1

12、.3 防火墙不足 4 3.1.4入侵检测功能 4 3.1.5入侵检测分类 4 3.1.6入侵检测不足 4 3.1.7分布式入侵检测系统的优势 432 第二阶段：模拟校园网的基础上设计了入侵防御系统 533 第三阶段：编写检测引擎 53. 4 第四阶段：测试、运行本系统并改进 124结果分析135. 结论及存在的问题 13参考文献 14致谢 15基于校园网的分布式入侵防御系统研究与设计姓名：何应鸿 学号：2005394109 班级：网络工程0511、绪论1.1 网络安全隐患Internet是一个全球各种计算机网络的互连系统，它把政府组织、金融证券、商业企业、国防军事等各种计算机网络系统互相连接在

13、了一起。在计算机网络中存在着一些重要的信息系统，其中存储了大量敏感的甚至是机密的信息，如国家的军事能源信息、政府的调控决策信息、政府的调控决策信息、科研机构的研究技术信息和商业企业的技术经济信息等等；在计算机网络中还存在着大量重要的应用系统，如金融、证券、税务、商务、文教等电子系统。但由于最初设计TCP/IP协议的目的是为了网络设备的互联通信。协议建立在完全信任的环境下，彼此之间有很多假定的信任关系，没有对安全问题引起足够重视。网络安全隐患主要来自于如下四个方面： （1）网络的复杂性。网络是一个有众多环节构成的复杂系统。由于市场利润，技术投入，产品成本，技术规范等等问题，不同供应商提供的环节在

14、安全性上不尽相同，使得整个系统的安全程度被限制在了安全等级最低的那个环节。 （2）网络的飞速发展。由于网络的发展，提供新网络服务，增加网络的开放性和互联性等，必然将更多环节纳入系统中，新采用的环节又增加了系统的复杂性，引发了网络的不安定性。 （3）软件质量问题。软件质量难以评估是软件的一个特征。现实中。即使是正常运行了很久时间的软件，也会在特定的情况下出现漏洞，例如不断涌现的操作系统漏洞。现代网络已经是软件驱动的发展模式，对软件的更大依赖性加大了软件质量对网络安全的负面影响。同时，市场的激烈竞争，促使商家需要更快地推出产品，软件的快速开发也增大了遗留更多隐患的可能性。 （4)其它非技术因素。这

15、包括技术员在网络配置管理上的疏忽或错误，网络实际运行效益和安全投入成本的平衡决择，网络用户的安全管理缺陷等等。1.2 黑客常用攻击手段 针对众多的安全威胁和安全隐患，黑客常用的攻击手段包括以下7种： （1）口令入侵：利用应用层许多协议如TELNET、FTP、HTTP、SMTP等，它们中多数没有采用加密或身份认证技术，用户账号与密码信息都是以明文格式传输的特点实施网络监听，也可以利用用户的账号（如E-mail账号）进行暴力破解（字典破解），当然利用系统管理员的失误，复制存放Password的文件，进一步利用解密算法也可以达到破解的目的。 (2)网络监听：利用网络中信息的传输是在用户端与服务器端之

16、间进行，攻击者就可以在这两端之间进行数据监听，特别是局域网中信息的传送采用广播的形式，这时可以利用自己制作的抓包工具、或是利用现有的监听工具，如Sniffer、Netxray、Tcpdump等工具就可以轻而易举地截取包括用户名、口令在内的信息。 (3)WWW攻击：这一技术常采用两种方式进行，一种是URL（统一资源定位器）地址重写，另一种是相关信息掩盖。前者是利用URL地址重写将用户浏览的网页链接指向攻击者的服务器，使得浏览者在查看信息的时候，不经意进入到攻击者的全套里；后者一般利用文档信息、表单信息掩盖结合前一种方式同时进行。常常使用Java、ActiveX、JavaScript程序来完成。

17、(4)木马攻击：这一攻击常常是基于网络中的客户机/服务器原理。攻击者利用在被攻击者的计算机中安装通过端口进行通信的客户机/服务器程序，使被控制端启动一个默认端口，成为服务器，而攻击者作为客户机一方，利用此端口可以发出连接请求，进而启动被控制端的相应程序，将该计算机完全控制；或者在被攻击的计算机内安装具有触发机制的程序，当对该机操作触发该程序，可将计算机内的重要信息定时或不定时传到异地的机器上去。常用的工具有Glacier、SubSeven、Acidshiver等。 (5)缓冲区溢出攻击：由于软件编码或是系统本身没有对执行的程序与缓冲施加控制，使得在接受输入的过程中，当攻击通过往程序的缓冲区写入

18、超出其长度的内容时，系统会处于不稳定状态，利用这种不稳定状态，攻击者可以通过加入代码，在有ROOT权限的内存中运行想要的指令，从而拥有系统管理员的权限，控制该机。如DNSoverflow、standoverflow等。 (6)Dos攻击：引起拒绝服务攻击原因很多，有的是操作系统漏洞，有的是协议漏洞，有的是软件本身的漏洞，还有的是错误配置的原因。大体上是利用合理的服务请求来占用过多的服务资源，致使资源耗尽或是资源过载，造成服务器瘫痪，其它用户无法想用该服务资源。常用的工具有Smurf、Stacheldraht、Trinoo等。 (7)DDOS攻击：分布式拒绝服务攻击，首先通过以上所列举得某种技术

19、获得多台计算机的控制权，并在某一台运行特定程序使其成为主控端，在其他机器中运行特定程序成为代理端，主控端控制多个代理端。当主控端发出攻击命令，每个响应攻击命令的代理端会向目标主机发送拒绝服务攻击的数据包，达到攻击的目的。常用的工具有TFN、Trinoo、Stacheldraht等。1、3 网络安全体系面对越来越严重的网络安全问题，人们制定了一系列的安全法则和评测标准，用来构筑一个相对稳固的安全系统。无论是安全模型，还是系统安全等级评估标准，人们主要是从身份认证和访问控制这两个方面来保证系统的安全性。但是，传统的身份认证技术，并不能抵制脆弱性的口令、字典攻击、特洛伊木马、网络窥探器等攻击手段。对

20、于访问控制，入侵者也可以利用脆弱性程序或系统漏洞绕过访问控制，或者提升用户权限，或者非法读写文件等。网络防火墙虽然为网络服务提供了较好的身份认证和访问控制技术，但是防火墙并不能阻挡所有的入侵行为。针对原有安全模型的缺陷，有些学者提出计算机信息系统安全的管理模型应包括4部分，如图1-1所示。在这个模型中，构筑一个安全系统防御模块只是其中一小部分。检测模块用于发现各种违反系统安全规则的入侵行为。调查模块将检测模块所获得的数据加以分析，并确认当前所发生的有关入侵企图。事后分析模块分析将来如何抵制类似的入侵行为。在这以前，人们的注意力集中在防御模块上，随着系统脆弱性评估及入侵检测工作的深入，检测模块也

21、越来越受到人们的重视，而后两个模块的工作尚有待于进一步的开展。当今社会，对于信息系统的攻击日趋频繁。安全的概念已经不局限于信息的保护，人们需要的是对整个信息和信息系统的保护和防御，从而确保它们的保密性、完整性、可用性、可控性、不可否认性等，包括了对信息的保护、检测、反应和恢复能力（PDRR），其基本组成如图1-2所示。14 目前网络安全现状目前最流行的网络安全解决方案是入侵检测系统和防火墙技术。入侵检测，就是对入侵行为的发现。它通过对计算机网络和计算机系统中的若干关键点收集信息并对其进行分析，从而发现网络或系统中是否有违反安全策略的行为和被攻击的痕迹。IDS通常架设在网络重要节点与主机系统之上

22、，可检测网络流量与内容，或者分析网络内的信息流动。防火墙是用一个或一组网络设备（计算机系统或路由器等），在两个或多个网络间加强访问控制，以保护一个网络不受来自另一个网络攻击的安全技术。其主要作用是执行安全策略、提供访问控制、防止不希望的以及未授权的通讯进出被保护的网络、强化内部网络安全等。主机防火墙是一种网络安全软件，运行在受保护的主机上。其原理是通过在操作系统的网络协议框架的适当位置插入拦截点，让所有的数据包都通过拦截点，再根据安全策略制定的过滤规则对通过的数据包进行检查，过滤掉不允许通过的数据包，以保护主机不受外界的非法访问和攻击。1.5 论文研究的内容和意义目前，一般IDS所共有的一个缺

23、点是生成的报警和日志的数量过于庞大。就目前的发展现状来看，IDS还不能做到完全的自动化，对于检测结果的最终确认必须有人的参与，而数量庞大的报警和日志超出人的处理能力，必须找到办法来解决这一问题。另外一个缺点是很多入侵检测系统仍然采用人工响应的形式。由于响应及时性不够并且无法处理大规模高速网络中大量的安全事件，该方法已经不能够满足目前入侵响应的需求。采用分布式入侵检测体系结构基于分层部件的入侵检测系统是目前解决这些问题的常用方法。分布式入侵检测体系结构具有良好的性能和可扩展性，它将入侵洁厕系统和防火墙技术有机地结合在一起，可以实现对网络的全面保护和深度防御。首先，本文总结了现有入侵检测系统的体系

24、结构、报警融合、报警响应，指出了现有入侵检测系统错在的问题，介绍了入侵检测系统将来可能的发展方向。接着，重点研究了分布式入侵检测系统的体系结构和各个功能的设计实现，具体研究内容包括：系统结构、控制台设计、报警融合、报警响应。最后，针对局域网实际安全需求，实现了分布式入侵检测系统对网络安全的保护，取得了不错的应用效果。1.6论文组织与安排本文共分为五章。除本章绪论外，其它各章的内容安排如下：2、防火墙与入侵检测技术介绍2.1防火墙技术 防火墙是通过提供访问控制服务来实现对网络和受保护主机的网络安全防护的，防火墙技术应该结合入侵检测系统和防木马等技术，提供给用户个高的网络安全性。防火墙是一种网络安

25、全软件，作为一个应用程序或者服务，运行在受保护的主机上，为主机提供网络安全保护。其主要手段是分析主机操作系统网络协议架构，在适当的位置插入拦截点，所有的网络数据包通讯都要经过这些拦截点，再按照根据从策略服务器传来的安全策略制定的过滤规则（访问控制规则）对经过拦截点的网络信息流进行监控和审查，过滤掉任何不符合安全规则的信息，以保护主机不受外界的非法访问和攻击。对于主机防火墙来讲，主机以外的网络都是不可信的，而不像传统边界防火墙那样信任内网、防御外网。在制定安全策略的时候可以针对内部网络和外部网络确定不同德过滩规则，但本质上，内部网络和外部网络是平等的，都要进行防御。2、1、1防火墙的功能：（1）

26、 过滤不安全服务和非法用户网路入侵有许多都是通过运行一些不安全的程序来实现的，这些程序有些是用户知道的，有些是用户不能擦觉的，它通过网络悄悄地潜入你的计算机系统，伺机发作，实施破坏。因此，作为防火墙，应当能够过滤掉所有的不安全数据，阻止它们进入内部网络，对于允许的安全数据，则可以自出入。这样既可以保证正常的上网活动，又可以防止危机数据对自己的侵袭，保证上网安全。除了过滤不安全服务，防火墙还可以阻止非法用户对内部网络的访问，只允许授权的用户访问，针对不同的服务面向不同的用户开放，这样可以灵活地设置用户的访问权限，提高网络的安全性。（2） 控制访问特殊站点一般情况下，上网以后可以获得各种信息，而网

27、上信息五花八门，各式各样的内容都有。如果不加限制，就容易获得一些色情、暴力等不健康的内容，同时根据需要，有时我们要控制访问某些站点，通过防火墙就可以实现这些目的。（3） 监视Internet安全和预警对于来历不明的数据，防火墙可以发出预警信息，同时可以监视谁在使用网络，他们在网上干什么，他们何时使用过网络，在网上去了何处等内容，获得相关数据，为日后的安全技术分析提供依据。2、1、2防火墙的分类按照功能防火墙分为以下3类（1）包过滤型防火墙通过读取数据包中的地址信息来判断这些“包” 是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况

28、灵活制订判断规则。（2）应用级网关应用级网关能够在应用层上理解协议，通过网关复制传递数据，实现复杂的控制访问，一般通过代理服务器完成操作控制。（3） 规则检查防火墙规则检查防火墙集中了上述二类防火墙的特点，同时又有自己先进的算法，因此安全功能更好，目前市场上流行的防火墙大多属于该类产品。2.2入侵检测系统2、2、1 常用的入侵检测技术入侵检测过程事一个检测系统与入侵攻击者之间对抗的决策分析过程，其技术基础事基于知识和冗余推理方法的信息融合技术，而大部分工作是通过模式匹配、数据挖掘、特征选取以及机器学习等方法对数据进行分类处理。常用的入侵检测技术分为两大类，即滥用检测和异常检测6。滥用检测（Mi

29、suse Detection）是根据已知的入侵模式特征，通过对被监视目标特定行为的模式匹配来进行的关于已知入侵的检测；而异常检测（Anomaly Detection）则是事先以最近的历史数据建立被监视目标（用户，系统和网络资源等）在正常情况下的行为和状态的统计描述，通过检测这些统计描述的当前值是否显著偏离了其相应的正常情况下的统计描述来进行入侵的检测。（1） 滥用入侵检测技术滥用入侵检测技术的应用是建立在对过去各种已知网络入侵方法和系统缺陷知识的积累上，它需要首先建立一个包含上述已知信息的数据库，然后在收集到的网络活动信息中寻找与数据库项目匹配相关的蛛丝马迹。当发现符合条件的活动线素后，它就会

30、触发一个警告，这就是说，任何不符合特定匹配条件的活动都将会被认为是合法和可以接受的，哪怕其中包含隐藏的入侵行为。因此，滥用检测系统具备较高的检测准确性，但是，它的完整性（即检测全部入侵行为的能力）则取决于其数据库的几时更新程度。可以看出，滥用入侵检测技术的优点在于具有非常低的虚警率，同时检测的匹配条件可以进行清楚的描述，从而有利于安全管理人员采取清晰明确的预防保护措施。然而，滥用入侵检测技术的一个明显缺陷在于，手机所有已知或是已发现攻击行为和系统脆弱性信息的困难性以及几时更新庞大数据库需要消耗大量精力和时间，这是一项艰苦工作。另一个存在的问题事可移植性，因为关于网络攻击的绝大多数是与主机的操作

31、系统、软件平台和应用类型密切相关的，因此带来的后果是这样的入侵检测系统只能在某个特定的环境下生效。最后，检测内部用户的滥用权限的活动将变得相当困难，因为通常该种行为并未利用任何系统缺陷。在滥用入侵检测系统中，研究者们提出基于各种技术类型的检测器，如专家系统技术、特征分析技术、Petri网技术、状态转移分析技术等等。专家系统技术在各种开发模型中得到广泛应用。通常，专家系统中包含一系列描述攻击行为的规则，当审计数据事件被转换成为能够被专家系统理解的包含特定警告程度信息的事实后，专家系统应用一个推理机在事实和规则的基础上推出最后结论。这里，原始的审计数据被抽象成系统能够理解的事实，有利于进一步应用更

32、高层次的各种分析技术。采用专家系统技术的典型例子有SRI公司开发的入侵检测专家系统（IDES，Intrusion Detection Expert System）。由于处理速度的原因，专家系统技术目前只是在各种研究原型中得到应用，而商业化的软件产品采用了其他效率更高的技术，其中目前应用最广泛的就是特征分析技术。与专家系统技术比较，相同之处是同样要收集关于网络入侵行为的各种知识，不同点是特征分析技术更直接的运用收集到的各种知识，例如入侵行为可以被转化成它们在实施过程中所产生的一个事件序列或某种系统审计文件以及网络数据包中的数据样板模型。（2）异常检测技术又称为基于行为（Behavior Base

33、d）的入侵检测技术，它是建立在如下假设基础上的，即任何一种入侵行为都能由于其偏离正常或者期望的系统和用户的活动规律而被检测出来。描述正确或是合法的模型是从对过去通过各种渠道收集到的大量历史活动资料的分析中得出来的。入侵检测系统将它与当前的活动情况进行对比，如果发现了当前状态偏离了正常的模型状态，则系统发出警告信号，这就是说，任何不符合以往活动规律的行为都将视为入侵行为。因此，非规则入侵检测系统的检测完整性很高，但要保证它具有很高的正确性很困难。此类检测技术的优点在于它能够发现任何企图发掘、试探系统最新和未知漏洞的行为，同时在某种程度上，它较少依赖特定的操作系统环境。另外，对于合法用户超越其权限

34、的违法行为的检测能力大大加强。较高的虚报警率是此种方法的主要缺陷，因为信息系统所有的正常活动并不一定在学习建模阶段就被全部了解。另外，系统的活动行为是不断变化的，就需要不断的在线学习。该过程将带来两个可能后果，其一是在线学习阶段，入侵检测系统无法正常工作，否则生成额外的虚报警信号。还有一种可能性是，在学习阶段，信息正遭受着非法的入侵攻击，带来的后果是，入侵检测系统的学习结果中包含了相关入侵行为的信息，这样系统就无法检测到该种入侵行为。在非规则入侵检测中，最广泛使用的技术是统计分析(Statistics Analysis)。系统或者用户的当前行为通过按一定时间间隔采样并计算出的一系列参数变量来描

35、述，如每个会话进程的登录和退出时间，占用资源的时间长短。在最初的模型中，系统计算出所有的变量的平均值，然后根据平均偏差检测当前行为是否超过了某一值，当然，这样的模型是很简单和粗糙的，无法准确检测异常活动。进一步的算法将单个用户的参数变量数值与积累起来的群体参数变量进行比较，但是检测能力的提高还是不大。目前在几种非规则检测系统中使用了一种更加复杂的模型，检测系统同时计算并比较每个用户的长期和短期活动状态，而状态信息随着用户行为的变化而不断更新。另一种主要的非规则检测技术是神经网络技术。神经网络技术通学习已有输入输出矢量对集合，进而抽象出其内在的联系，然后得到新的输入输出的关系；这种技术在理论上能

36、够用来审计数据流中检测入侵的痕迹。然而，目前尚无可靠地理论能够说明神经网络是如何学习范例中的内在关系的。神经网络技术和统计分析技术的某些相似之处已经被理论证明，而使用神经网络技术的优势在于它们能够以一种更加简洁快速的方式来表示各种状态变量之间的非线性关系，同时，能够自动进行学习/重新训练的过程。2、2、2入侵检测系统功能： 入侵检测系统（Intrusion Detection System，IDS）是一种计算机软件系统，用于自动检测上述入侵行为，并收集入侵证据，为数据恢复和事故处理提供依据。有些入侵检测系统在检测到入侵特征后还试图做出某些响应，以遏制或阻止对系统的威胁或破坏。（1） 审计系统的

37、配置和存在的脆弱性（2） 评估关键系统和数据文件的完整性和一致性（3） 分析用户和系统的活动情况（4） 检测并响应正在进行的或已经实现的违反系统安全策略的入侵活动（5） 收集入侵证据 在设计网络入侵检测系统时，要特别对来自组织机构内部的入侵行为予以更多的重视。据FBI的研究，80%的入侵和攻击行为来自于组织机构内部。这是由于内部人员具有访问系统资源的合法身份、了解系统数据的价值和熟悉系统的安全措施，从而可以使用某些系统特权或调用比审计功能更低级的操作来逃避审计。2、2、3 入侵检测的分类现有的分类，大都基于信息源和分析方法进行分类。 根据信息源的不同，分为基于主机型和基于网络型两大类 基于主机

38、的入侵检测系统（Host-based Intrusion Detection System，HIDS） 基于主机的IDS可监测系统、事件和Windows NT下的安全记录以及Unix环境下的系统记录。当有文件被修改时，IDS将新的记录条目与已知的攻击特征相比较，看它们是否匹配。如果匹配，就会向系统管理员报警或者作出适当的响应。 基于主机的IDS在发展过程中融入了其他技术。检测对关键系统文件和可执行文件入侵的一个常用方法是通过定期检查文件的校验和来进行的，以便发现异常的变化。反应的快慢取决于轮讯间隔时间的长短。许多产品都是监听端口的活动，并在特定端口被访问时向管理员报警。这类检测方法将基于网络的

39、入侵检测的基本方法融入到基于主机的检测环境中。 基于网络的入侵检测系统（Network-based Intrusion Detection System，NIDS） 基于网络的入侵检测系统以网络包作为分析数据源。它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。一旦检测到了攻击行为，IDS的响应模块就做出适当的响应，比如报警、切断相关用户的网络连接等。不同入侵检测系统在实现时采用的响应方式也可能不同，但通常都包括通知管理员、切断连接、记录相关的信息以提供必要的法律依据等5。 基于主机和基于网络的入侵检测系统的集成

40、许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统。因为这两种系统在很大程度上是互补的。实际上，许多客户在使用IDS时都配置了基于网络的入侵检测。在防火墙之外的检测器检测来自外部Internet的攻击。DNS、Email和Web服务器经常是攻击的目标，但是它们又必须与外部网络交互，不可能对其进行全部屏蔽，所以应当在各个服务器上安装基于主机的入侵检测系统，其检测结果也要向分析员控制台报告。因此，即便是小规模的网络结构也常常需要基于主机和基于网络的两种入侵检测能力。下面给出一个中等规模的机构设置入侵检测系统的入侵检测解决方案6, 7。根据检测所用分析方法的不同，可分为误用检

41、测和异常检测 误用检测（Misuse Detection） 设定一些入侵活动的特征（Signature），通过现在的活动是否与这些特征匹配来检测。常用的检测技术为： 专家系统：采用一系列的检测规则分析入侵的特征行为。规则，即知识，是专家系统赖以判定入侵存在与否的依据。除了知识库的完备性外，专家系统还依靠条件库的完备性，这一点又取决于审计记录的完备性、实时性和易用性。此外，匹配算法的快慢，也对专家系统的工作效率有很大的影响。 基于模型的入侵检测方法：入侵者在攻击一个系统时往往采用一定的行为序列，如猜测口令的行为序列。这种行为序列构成了具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征

42、，可以实时地检测出恶意的攻击企图。与专家系统通常放弃处理那些不确定的中间结论的缺点相比，这一方法的优点在于它基于完善的不确定性推理数学理论。基于模型的入侵检测方法可以仅监测一些主要的审计事件。当这些事件发生后，再开始记录详细的审计，从而减少审计事件处理负荷。这种检测方法的另外一个特点是可以检测组合攻击（coordinate attack）和多层攻击（multi-stage attack）。为分布式IDS系统所采用。 简单模式匹配（Pattern Matching）：基于模式匹配的入侵检测方法将已知的入侵特征编码成为与审计记录相符合的模式。当新的审计事件产生时，这一方法将寻找与它相匹配的已知入侵

43、模式。 软计算方法：软计算方法包含了神经网络、遗传算法与模糊技术。近年来己有关于运用神经网络进行入侵检测实验的报道，但还没有正式的产品问世。 异常检测（Anomaly detection） 异常检测假设入侵者活动异常于正常的活动。为实现该类检测，IDS建立正常活动的“规范集（Normal profile）”，当主体的活动违反其统计规律时，认为可能是“入侵”行为。异常检测的优点之一为具有抽象系统正常行为从而检测系统异常行为的能力。这种能力不受系统以前是否知道这种入侵与否的限制，所以能够检测新的入侵行为。大多数的正常行为的模型使用一种矩阵的数学模型，矩阵的数量来自于系统的各种指标。比如CPU使用率

44、、内存使用率、登录的时间和次数、网络活动、文件的改动等。异常检测的缺点是：若入侵者了解到检测规律，就可以小心的避免系统指标的突变，而使用逐渐改变系统指标的方法逃避检测。另外检测效率也不高，检测时间较长。最重要的是，这是一种“事后”的检测，当检测到入侵行为时，破坏早已经发生了。 统计方法是当前产品化的入侵检测系统中常用的方法，它是一种成熟的入侵检测方法，它使入侵检测系统能够学习主体的日常行为，将那些与正常活动之间存在较大统计偏差的活动标识成为异常活动。常用的入侵检测统计模型为：操作模型、方差、计算参数的方差、多元模型、马尔柯夫过程模型和时间序列分析。统计方法的最大优点是它可以“学习”用户的使用习

45、惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统811。防火墙与入侵检测系统的局限性现有防火墙的不足限制了对希望服务的访问。防火墙最明显的不利之处是它所阻塞的某种服务也许正是用户所需要的。大量的潜在的后门防火墙不能保护节点系统上的潜在的后门。对内部攻击者几乎无能为力防火墙一般不提供对来自于内部威胁的保护，即防火墙对内部是信任的。无法检测加密的Web流量如果你正在部署一个关键的门户网站，希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。这个需求，对于传统的网络防火墙而言，是个大问题。由于网络防火墙对于加密的SSL流中的数据是不可见的，防火墙无法迅速截获SSL数据流并对其解密，因此无法阻止应用程序的攻击，甚至有些网络防火墙，根本就